El equipo de investigación de seguridad en móviles de Check Point descubrió una vulnerabilidad en Android que afecta a teléfonos, tabletas y dispositivos de los principales fabricantes, incluyendo LG, Samsung, HTC y ZTE. El equipo reveló sus hallazgos durante una breve sesión en la conferencia Black Hat USA 2015.

Certifi-gate es una vulnerabilidad (un conjunto de vulnerabilidades en realidad) en la arquitectura de Herramientas de Soporte Remoto para móviles (cuyas siglas en inglés son mRSTs), utilizadas por cada fabricante de dispositivos Android y cada proveedor de servicios de red, prácticamente.

La falla permite que las aplicaciones obtengan permisos de acceso privilegiado de forma ilegítima, los cuales son comúnmente utilizados por las aplicaciones de soporte remoto que ya vienen preinstaladas o que fueron instaladas personalmente en los dispositivos Android.

Los atacantes pueden explotar Certifi-gate para acceder sin restricciones al dispositivo, lo que les permite robar datos personales, rastrear la ubicación del dispositivo, encender los micrófonos para grabar conversaciones y más.

Millones de dispositivos Android, incluyendo aquellos con el sistema operativo Lollipop, pueden ser secuestrados.

El estudio reveló la existencia de múltiples instancias de una falla fundamental dentro de la cadena de personalización de Android que deja millones de dispositivos (y usuarios) vulnerables a ataques. Los investigadores dicen que las vulnerabilidades son "explotables muy fácilmente".

Los orígenes de estas vulnerabilidades incluyen colisiones de hash, abuso de IPC y falsificación de certificados, éstos permiten a un atacante conceder a su malware control total del dispositivo de una víctima.

Android no ofrece una manera de revocar los certificados que proveen los permisos privilegiados. Sin parches de seguridad y sin una forma razonable de evitar el problema, los dispositivos están expuestos desde que salen de su caja. Los fabricantes de equipos originales (OEM por sus siglas en inglés) tampoco pueden revocar los componentes vulnerables que tienen certificados aceptados, haciendo que las versiones sin parches sean válidas para ser instaladas en los dispositivos.

Estas vulnerabilidades permiten a un atacante sacar ventaja de aplicaciones inseguras, certificadas por OEM y compañías telefónicas para obtener acceso sin restricciones a cualquier dispositivo, incluyendo capturas de pantalla, registro de teclas presionadas usando keyloggers, robo de información privada, instalación de puertas traseras, entre otros.

Check Point notificó sobre Certifi-gate a todos los proveedores afectados y éstos ya han comenzado a liberar actualizaciones. La vulnerabilidad no puede ser corregida y sólo puede ser actualizada cuando una nueva versión del software se envía al dispositivo.

Los usuarios de Android pueden revisar si su dispositivo es vulnerable a Certifi-gate al descargar la aplicación gratuita de Check Point escáner Certifi-gate en Google Play.